390 likes | 538 Views
Ajankohtaiskatsaus. CIP-seminaari 2007-11-24. Erka Koivunen Yksikön päällikkö CERT-FI. Tietoturvaloukkausten lyhyt historia. ennen 1970: uhkakuvana ”reaalimaailma” (ydinsota ARPANET) 1988: Morris Worm CERT/CC 1990-luku: virukset, spam, internetin kaupallistuminen
E N D
Ajankohtaiskatsaus CIP-seminaari2007-11-24 Erka Koivunen Yksikön päällikkö CERT-FI
Tietoturvaloukkausten lyhyt historia • ennen 1970: uhkakuvana ”reaalimaailma” (ydinsota ARPANET) • 1988: Morris Worm CERT/CC • 1990-luku: virukset, spam, internetin kaupallistuminen • vuosituhannen vaihde: rikollinen bisnes löytää tietoverkot • 2000-2003: verkkomadot lamauttavat verkkoja • 2004: haittaohjelmat ”soittavat kotiin” • 2005: bottiverkoista tulee krooninen ongelma, DDoS, phishing.. • 2006: rootkitit ja tietoa varastavat haittaohjelmat, tietoverkkorikolliset kohtaavat ”basaareilla”, bullet-proof-hosting.. • 2007: istuntoja kaappaavat haittaohjelmat, kohdistetut hyökkäykset, haittaohjelmien tuotteistaminen, EU ”havahtuu” ongelmaan... • 2008-: CIP-kohteet, matkaviestimet, ubiikkiuhat, laajavaikutuksiset haavoittuvuudet, yksityisyyden menettäminen, vastatoimet, infosota..??
Ajankohtaista 1/2007 Storm Worm 2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus 4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack 7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain 10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network 3
Ajankohtaista 1/2007 Storm Worm 2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus 4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack 7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain 10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network 4
DDoS-hyökkäys DNS-peilin avulla Kuva: CERT/CC Kuva: AusCERT
DDoS-hyökkäys DNS-peilin avulla http://www.icir.org/vern/papers/reflectors.CCR.01.pdf
DDoS-hyökkäys DNS-peilin avulla http://www.icir.org/vern/papers/reflectors.CCR.01.pdf Kuvat: Vern Paxson, ICSI
DDoS-hyökkäys DNS-peilin avulla $ dig fi TXT +short "https://domain.ficora.fi/" "whois.ficora.fi"
Myös juurinimipalvelimet kohteina Kuva: RIPE
Ajankohtaista 1/2007 Storm Worm 2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus 4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack 7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain 10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network 10
Ajankohtaista: Tapaus OPC Kuva: NIST 11
Ajankohtaista 1/2007 Storm Worm 2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus 4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack 7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain 10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network 12
Ajankohtaista: Tapaus Viro Kuvat: ASO April 2007 Mo Tu We Th Fr Sa Su 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 May 2007 Mo Tu We Th Fr Sa Su 12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 April 2007 Mo Tu We Th Fr Sa Su 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 May 2007 Mo Tu We Th Fr Sa Su 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 April 2007 Mo Tu We Th Fr Sa Su 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 May 2007 Mo Tu We Th Fr Sa Su 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 13
Ajankohtaista 1/2007 Storm Worm 2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus 4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack 7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain 10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network 14
Ajankohtaista 1/2007 Storm Worm 2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus 4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack 7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain 10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network 16
Ajankohtaista: Tapaus MPack Kuvat: SecurityFocus
Ajankohtaista 1/2007 Storm Worm 2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus 4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack 7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain 10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network 18
Ajankohtaista 1/2007 Storm Worm 2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus 4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack 7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain 10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network 20
Ajankohtaista 1/2007 Storm Worm 2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus 4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack 7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain 10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network 22
Ajankohtaista: Kohdennetut hyökkäykset Kuva: Der Spiegel
Ajankohtaista 1/2007 Storm Worm 2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus 4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack 7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain 10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network 24
Ajankohtaista: Salasanavuoto #define OWNED TRUE /* by. The Magical Pink Bear */ /* & ZeroPoint */ ########################################################## # 12/10/2007 # # 0x00> Prologue # # 0x01> md5($password); line 68 # # 0x02> sha1($password); line 29934 # # 0x03> sha1(tolower($username) . $password); line 30352 # # 0x04> plaintext fun; line 63122 # # 0x05> Goodbyes # # # ########################################################## void Prologue() { We cracked 78 000 (ok, almost 79 000) accounts around the net and of course we'd like to share them with you, right. Mostly finnish accounts, so maybe it would be better to have this prologue in finnish too. Hei, Lista pitää sisällään noin 29 800 MD5 hashia, muutamisen sataa SHA1 hashia, 33 000 kappaletta epäkivoja SMF foorumin hasheja ja toki myös muutamisen sataa salasanaa plaintextinä. Joistakin puuttuu mailit, valitamme. Niitä joko ei ole ollut saatavilla tai ne ovat tarkoituksella jätetty pois. Kysymyksiä varmasti syntyy; "Miten teitte sen?", "Miksi olen listalla?", "Antakaa kamaa runessa", "Keitä te olette?". Jos olet listalla, sori hei. Meillä ei ole varmastikaan ollut syytä satuttaa sua... tai sitten oli. Todennäköisesti olet vaan osunut väärään paikkaan väärään aikaan, mutta jokatapauksessa et olisi asialle mitään mahtanut.
Ajankohtaista: Salasanavuoto #define OWNED TRUE /* by. The Magical Pink Bear */ /* & ZeroPoint */ ########################################################## # 12/10/2007 # # 0x00> Prologue # # 0x01> md5($password); line 68 # # 0x02> sha1($password); line 29934 # # 0x03> sha1(tolower($username) . $password); line 30352 # # 0x04> plaintext fun; line 63122 # # 0x05> Goodbyes # # # ########################################################## void Prologue() { We cracked 78 000 (ok, almost 79 000) accounts around the net and of course we'd like to share them with you, right. Mostly finnish accounts, so maybe it would be better to have this prologue in finnish too. Hei, Lista pitää sisällään noin 29 800 MD5 hashia, muutamisen sataa SHA1 hashia, 33 000 kappaletta epäkivoja SMF foorumin hasheja ja toki myös muutamisen sataa salasanaa plaintextinä. Joistakin puuttuu mailit, valitamme. Niitä joko ei ole ollut saatavilla tai ne ovat tarkoituksella jätetty pois. Kysymyksiä varmasti syntyy; "Miten teitte sen?", "Miksi olen listalla?", "Antakaa kamaa runessa", "Keitä te olette?". Jos olet listalla, sori hei. Meillä ei ole varmastikaan ollut syytä satuttaa sua... tai sitten oli. Todennäköisesti olet vaan osunut väärään paikkaan väärään aikaan, mutta jokatapauksessa et olisi asialle mitään mahtanut. ~ 10 palvelinta murrettu 79 000 käyttäjätunnusta julkaistu 1 tekijä useita kopioita salasanalistasta julkaistu käyttäjätunnukset kävivät kymmeniin palveluihin kymmenet tai sadat sivulliset väärinkäyttivät tunnuksia verkossa on edelleen suuri määrä heikostisuojattuja palveluita
Ajankohtaista 1/2007 Storm Worm 2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus 4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack 7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain 10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network 27
Haavoittuvuuksien hallinnan osapuolet Vendors (Vulnerability) Researchers Users (=customers) !!! ?! ?! BlackHats End Users
Haavoittuvuuksien hallinnasta: CVSS CVE == Common Vulnerabilities and Exposure CVSS == Common Vulnerability Scoring System
Haavoittuvuuden ”laskeuma” kuva: OUSPG
Haavoittuvuuden ”laskeuma” $ apt-cache rdepends libc6 | wc -l 7768 $ apt-cache rdepends libgtk1.2 | wc -l 429 $ apt-cache rdepends libx11-6 | wc -l 1637 $ apt-cache rdepends libdb4.1 libdb4.2 libdb4.3 libdb3 |sort | uniq | wc -l 263 $ apt-cache rdepends libpcap0.7 libpcap0.8 |wc -l 90 $ apt-cache rdepends libtasn1-2 libtasn1-0 | wc -l 75 kuva: OUSPG
Onko jokin rikki? Vendors (Vulnerability) Researchers Users (=customers) !!! ?! ?! BlackHats End Users Kerro meille. Voinemme olla avuksi. VulnCoord@ficora.fi
Puhelin: +358 9 6966 510Päivystys: +358 44 012 0123Sähköposti: cert@ficora.fiwww: www.cert.fi CERT-FI:n julkiset varoitukset voi lukea:• Sähköpostitse hälytyspalveluna• SMS-hälytyspalveluna (maksullinen)• CERT-FI:n www-sivuilta• RSS-uutispalveluna• YLE:n teksti-tv:n sivulta 848